钟剑
摘要:随着网络安全事件带来的损失越来越大,企业的网络安全建设显得更加重要。文章从顶层设计的角度出发,提出企业网络安全建设关键因素,并给出相应的解决办法。研究表明,网络安全各要素之间是相互联系、相互影响的,在建设中应该根据企业实际,优先解决重要的问题。
关键词:网络安全建设;关键因素;企业
中图分类号:TN915.08 文献标识码:A
1 引言
网络安全是信息系统健康、连续运行的重要保障,随着信息化的发展,网络安全事件时有发生,造成的损失也越来越大。为了“建立健全网络安全保障体系,有力地促进经济社会发展”,国务院于2012年出台了《国务院关于大力推进信息化发展和切实保障网络安全的若干意见》,从多个方面对我国网络安全建设进行了指导[1]。
通常来说,网络安全主要面临的是来自内部和外部的、有意识和无意识的破坏。网络安全建设是一个系统的工程,涉及到组织管理、技术、经费、人才、法律等方面。多年以来,企业网络安全的工作重点都是放在技术方面,研究开发了大量的新技术、硬件等,但很少有能从顶层设计来进行研究判断的,或者只是笼统地给出了一些建议,并没有指出哪些是建设的重点。实际上,大多数企业工作人员并不了解哪些是应该要着重解决的,因此往往是整体抓,什么都做,又力不从心,造成了投入巨大而收效甚微的局面。本文从顶层设计的角度出发,详细地论述了企业网络安全建设中的关键因素,并对其重要性和相互之间的影响做出分析,为企业提供参考。
2 研究现状
目前,针对网络安全建设中关键因素的研究较少,文献[1]把ISO/IEC27001的网络安全体系和国家电网现有体系进行了比较分析,给出了电网网络安全建设的建议[2];文献[3]在对128个国家9300名的管理人员进行调查后,得出了17个方面的结论,其中在亚洲地区,网络安全工作人员更希望能够增加网络安全预算,企业比较重视注重网络安全设施的同步规划、同步建设、同步运行以及移动设备和云安全。
从实际的情况看,在网络安全的建设过程中,企业希望能够根据自身的情况进行防护,网络安全等级保护和风险评估是最有效的办法。如前文所述,网络安全是一个系统化的工程,里面包含有诸多因素,把关键因素提取出来,能够使得企业集中现有精力解决最主要的问题,根据实际情况在后续的过程中逐渐改进,从而可以避免多头建设、轻重不分的情况。
根据沈昌祥院士在第十七次全国计算机安全学术交流主题会上提出的观点,我国网络安全保障体系应包含六个体系:组织管理体系、法律保障体系、技术保障体系、基础设施保障体系、经费保障体系、人才培养体系[4]。对于一个企业来说,这也是有着重要的参考意义的。根据实际的经验,要想做好这六个方面的工作,其实并不容易,尤其是在一些企业中,人力和经费都得不到充分的保证,而且网络安全建设在每一个企业的情况都不相同,这使得网络安全的建设标准在实施中困难重重,往往使得工作人员无所适从。为了对我国西部地区网络安全保障工作体系建设现状进行调查,工信部网络安全协调司于2013年组织了针对此现状的调查,并形成了调查报告。报告中,总结并采用了36个指标对西部地区网络安全保障工作体系进行描述[5]。本文根据西部地区报告的指标进行提炼,得到几个在网络安全建设中的关键因素:组织管理机构、网络安全发展规划、教育培训、经费预算、网络安全制度和规范。
本文主要研究网络安全建设过程中的关键因素,同时指出各因素对网络安全整体建设的影响和他们之间的相互关系,帮助网络安全工作人员更好地了解网络安全建设中的关键问题,帮助企业做出决策。
3 网络安全建设中的关键因素
3.1 组织管理机构
组织管理机构是一个企业进行网络安全建设的基础和核心。在企业的网络安全建设中,管理才是最重要的措施。一般來说,按照国家要求,重点领域内的政府机构和企业都需要有一个网络安全领导小组,网络安全领导小组工作的好与坏,直接决定了该企业网络安全建设的好与坏。如图1所示,显示了组织管理机构对企业网络安全建设和其他因素的影响。
作为一个有效的组织管理机构,首先应该要得到企业的任命,如果机构的工作职责没有得到确认,员工对其工作就不理解和认同,从而使得下一步的工作困难重重。其次,为了明确组织管理机构的职责,书面形式的文档是必须的,在ISO 17799中,有书面文档是首先要进行的第一项重要内容。书面文档不应该仅仅定义组织管理机构的工作内容,对责任也应该有所涉及,针对不同的用户组进行不同的行为管理,对文档的编写、升级、管理维护人员也都有明确的规定。这样,才能够使得企业的网络安全组织管理机构运行规范、效率,而不是仅仅在发生网络安全事件以后才采取相应的措施。例如,对于网络安全的处罚,先制定好违规行为和处罚规定,在发生网络安全事件并对职工进行处罚时,就不会显得毫无依据,而且也十分有利于执行内部和外部的安全审计。
一般来说,想要做好企业的网络安全组织管理工作,应该优先考虑从几个方面进行。
(1)组织管理机构对于企业的网络安全建设有一个全局的策略。有专职的网络安全工作人员并能定期向CEO、CFO、COO等企业领导成员汇报网络安全概况;有网络安全工作计划并能及时回顾上一个工作期的工作落实情况,能确切地了解在企业内部和企业外部发生的网络安全事件,以便针对企业现状做出适当的工作计划调整。以“震网”事件为例,每一个基础设施管理部门的网络安全工作人员都应该对其有深入的了解,包括病毒攻击的渠道、攻击途径、防护措施等。
(2)把网络安全支出作为信息系统建设成本和企业项目建设的一部分。在信息系统建设的初期,对网络安全采取同步规划、同步建设、同步运行的措施,以确保系统的网络安全风险降到最低。随着企业信息化建设的逐步推进,安全防护设施的“三同步”显得尤为重要,在信息系统设计的时候没有考虑安全设施的同步规划,将会导致信息系统建成即有缺陷,建设完成后带着安全隐患运行。根据实际经验,后期再进行整改的投入往往较大,技术难度也更高。
(3)建立规范的考核制度,对组织管理机构人员的工作进行评价,帮助企业更好地了解组织管理机构人员的实际工作情况,从而为员工制定能力发展计划提供依据。
3.2 网络安全发展规划
制定企业的网络安全发展规划是网络安全工作人员的责任,需要所有企业人员的配合、支持和参与,因为网络安全的发展规划与企业的发展规划息息相关,所以应该保持其与企业发展目标的一致性,确保网络安全始终为企业的发展服务。图2为网络安全发展规划所涉及的几个方面内容。
“凡事预则立不预则废”。在企业的网络安全建设中,进行规划是一件很重要的事情,因为它确定了未来几年的工作方向和重点,以及所采取的网络安全策略。文献[6]指出:在系统设计阶段就应该考虑部署网络安全的策略和方法,并且要根据设备的负载能力等来进行适当的调整,在执行部署时,应进行网络安全风险评估。同时,对于大多数企业来说,这意味着一种企业文化上的转变,这种转变是长期的,而且见效缓慢,因此在一开始就制定好适合企业的网络安全发展规划和支持活动,将会使得以后的网络安全工作遇到的障碍明显地减少。制定企业网络安全发展规划,要注意把握三个方面的工作。
(1)保持网络安全目标与企业目标的一致性。举例来说,网络安全建设成本应该是小于所保护目标的价值,不然网络安全的建设将毫无意义。根据目标的价值、重要程度来采取不同水平的控制措施,既能够最大化地保障企业网络安全的利益,对员工的日常工作影响也将明显地减少。还有要注意的就是,在制定网络安全策略时,必须要与技术人员进行充分交流,保证企业业务的可靠性、整体性、可用性,因此要确保技术人员的特殊要求能够在网络安全策略里被优先得到满足。
(2)制定多种计划,包括灾备恢复、应急响应、操作计划、评估计划等,这些工作都需要必要的硬件设施作为基础,因此要搭建硬件环境,并估算设备的承载能力和功能设计与实际需求的差别,选择一个最合适的方案。
(3)对用户采取有效的控制计划。根据职工所在部门采取划分不同用户组的办法,对于企业核心信息了解得越多的用户,其所采用的行为控制应该越严格。在保证商业连续性的条件下,对企业其他员工的活动采取适当控制,例如内部控制、监测控制、预防控制、校正控制等,同时为企业信息搭建合适的控制环境,例如分级管理、认证与接入控制、通信与操作管理等。
3.3 教育培训
网络安全教育技能培训的重要性一直都是国际社会在网络安全领域的重点关注目标。以美国为例,其发布的《网络空间安全战略》就明确提出了要求加强“网络教育和劳动力发展培训”,而2009年奥巴马公布的《网络空间政策评估—保障可信和强健的信息和通信基础设施》报告中,也要求“提升公众的网络安全意识,加强网络安全教育”。
多年以来,在企业的网络安全建设中一直都存在“重技术,轻管理”的现象,大部分工作人员安全意识淡薄,基本没有经过系统的网络安全意识和教育培训,对网络安全一知半解。而在实际的情况中,80%以上的成功入侵都是利用了人的无知、麻痹和懒惰,对安全策略知之甚少的企业。因为员工个人问题而存在网络安全漏洞的比例高达93%,这些漏洞包括网络安全工作人员技术实力达不到要求、员工不重视网络安全、对公司知识产权没有保护意识等,而36%最严重的网络安全事件都是由于人员疏忽而造成的[7]。
2018年8月,华住集团发生一起严重的酒店客户数据泄露事件。犯罪嫌疑人窃取了华住旗下酒店的用户数据并将其挂在境外网站上出售,后来经过技术人员对日志进行审计和分析,发现华住集团技术人员存在着低级管理问题,使用了非常简单的超级管理员账号密码。2018年9月,乌克兰武装部队某个自动化控制系统服务器被研究人员发现存在大量的弱密码,上报以后,上级部门并没有将该问题进行解决,后来该研究人員经过简单的渗透测试,甚至入侵到了国防部网络,他们惊讶地发现国防部部分网络是没有密码的,而在其将问题再次上报以后的4个月时间内,访问乌克兰国防部部分服务器和计算机的密码一直没有更改。
人是网络安全技术的载体,随着信息技术的发展,黑客的技术也在不断进步,现阶段攻击的特点是:攻击成本低,实现简单,造成的损失逐渐加大。根据调查,对自己企业网络安全有信心的人员比例每年都在下降[7],因为攻击技术无时无刻不在发展,如不加强学习,几年后技术人员将会发现自己对网络安全新知识一无所知,无能为力。图3显示了缺乏网络安全教育培训所引发的一系列影响。
对于企业来说,想要做好网络安全教育培训工作,可以从三个方面进行。
(1)新员工的入职培训,包括网络安全技能培训和意识培训,帮助其熟悉企业现阶段所采取的网络安全策略、重要的信息资产、网络安全有关管理等;老员工的技能培训,包括操作系统的安全配置、安全设备的设置、网络设备的安全配置、设置访问控制策略等。在设备方面,有研究指出,没有经过正确配置的安全设备有时反而会减弱企业的网络安全防护能力[8]。
(2)对于没有组织过技能培训和意识培训的企业,可以考虑组织一次全员的系统培训,这样做的效果是相当明显的。实际工作证明,派遣人员参加过网络安全培训的企业比没有参加过任何培训的企业,在系统防护能力上更胜一筹,并且参加培训的人员等级越高,效果越明显。
(3)组织管理机构成员要进一步加强对企业的认知,而不是仅仅将重点放在网络安全技术上。鉴于每一家企业的特殊性,照搬其他企业或机构的做法是不明智的,从企业本身出发才能更好地从整体上考虑建设的问题。而这些出发点包括企业的资金预算、资产价值、重点保护的资产、现有防护能力、现有设备、当前采用的策略、企业下一步的发展重点等。
3.4 经费预算
经费是网络安全建设的保障,在企业里,随着近年来设备投入和人员花费的逐渐提高,政策制定者和研究者逐渐开始对网络安全的经费支出表现出加大的关注。如图4所示,网络安全经费包含了几个方面的支出。
随着黑客能力的提升,网络安全事件造成的损失逐年上升,具有攻击成本低、实现简单、防御难度大、成本高的特点。
由于缺少网络安全经费,设备和系统的改造、升级、购置、维护等没有保证,有些企业的安全设备一用就是十几年,设备已远远跟不上需求。在这些企业里,往往都是靠技术人员自身的技术实力来进行网络安全防护,但由于缺乏经费,导致人员缺乏网络安全培训,技能没有得到提升,不能及时发现和解决现有问题,也造成了对自己网络安全能力有信心的人员比例每年都在下降。为了解决这一问题,可以从两个方面考虑。
(1)根据防护目标的价值来选择网络安全花费,根据系统的功能来选择重点需要防护的要害部位,根据人员情况选择培训的重点。
(2)用宏观经济学和工商管理的理论方法来分析网络安全领域的经费投入问题。一般来说,企业在经费方面所面临的问题往往都是:到底要投入多少才够?文献[9]提供了一种经典的成本评价和决策规则来进行分析的方法—净现值模型分法(Net Present Value)。当涉及到经费问题时,可以先取得网络安全建设的量化期望,因为量化在网络安全建设上会显得更精确、更客观和有对比性。本文3.1的第二条建议也指出,应该要把网络安全技术支出作为项目成本分析的一部分,并且从投资的角度来考虑这个问题,而量化是进行计算和统计分析的基础。通常来说,网络安全预算占到信息化建设预算的10%是比较合理的。
3.5 网络安全制度和规范
对于一个有效的网络安全管理来说,制度和规范是必不可少的,它涵盖了网络安全建设的方方面面。随着信息技术的发展,因特网、云服务、网络之间的互连对于企业来说变得越来越重要,阻止员工不上互联网,无论是从技术手段还是从实际的工作需要出发,都不太现实,而且对于很多企业来说是不可能的。另外,由于信息数据对于企业来说正变得越来越重要,而员工的意识和习惯却还是基于过去的认知,因此有必要制定相关的制度和规范来对员工的网络安全行为进行约束和规范,从而建立起一个良好的网络安全环境,内容如图5所示。
在制定制度和规范之前,首先需要考虑一个问题:制度和规范对于企业的影响是否是有利的?毕竟,制度和规范对于员工来说更多的是一种约束。回顾 “千禧虫危机”,不难得到,尽管这个问题早就被国际重视,但是很少有国家采取积极措施来对其进行防御。尴尬的是,根据2013年至2018年间对广西重要信息系统的检查结果来看,网络安全也同样面临着这样的情况,绝大多数企业都知道网络安全会带来危害,但是能在事前采取积极行动的企业却不多,很多都是在发生了网络安全事件以后才采取了相应的措施。在网络安全建设方面,规章和规范是确保制度有效的利器,在得到有效执行的情况下,制度和规范会迫使企业和员工采取一些积极的应对措施,从而使得企业的网络安全建设更为有效,对于企业来说是利大于弊的。
2019年,法律法规在经济领域和政府机构的网络安全防护中,仍然显得相当重要。SP800-30中,提高风险管理可以从风险评估、风险削减、评价和评估这三方面进行,而法律、规则和指导文件则很好地对这三个方面进行了规定。根据MSI所建立的网络安全模型,网络安全是由技术、方针和意识构成的金字塔,技术在最上层,方针位于中间层,而意识则处在最底层[10]。多方面的调查也显示,网络安全更多的是一个管理问题而不仅仅是技术问题,意识是真正提高安全的唯一途径,为了提高员工意识,则应该制定规则和制度文件。
规范的重要性在于给技术人员提供了建设的标准,包括防护水平、防护的重点、所采用的技术设备以及控制粒度等方面的内容。没有任何一个策略能够做到100%的安全,但是一个好的策略无疑会使得安全风险大大降低,而策略最终需要通过规范来确定实施。
总的来说,制度和规范对于企业来说具有几个好处。
(1)聚焦那些什么都不做的人,至少让他们采取一些改变,如果制度正确的话,那么这种改变对于企业来说是积极的。如员工在防火墙和防病毒软件的保护下很少会做出其它防护措施,企业重视接口的防护而忽略了终端和对用户的管理,这里面就有很大的提升空间。
(2)制度能带来更高的安全意识,如果以前仅仅是觉得安装了杀毒软件以后就无所谓了,现在至少会有一些行为上的改变。如上网会留意到是否浏览了有恶意代码的网站,终端使用习惯有所改变(如锁定电脑屏幕、设置登录密码等)。而把安全活动提高到公司的制度上来,无疑会让员工更清楚地意识到自己的责任,从而提高警戒心,形成良好的习惯。
(3)为网络安全建立了一个机构层面的责任,并且定义了网络安全的关键角色和责任,工作人员会因为所承担的网络安全责任而更加地重视网络安全建设。同时,制度和规范也提供了一些其他的必要要求和指导,如制度的指向性会让职工明确其所拥有资源的重要性。
為了能够让制度和规范更好地起作用,可以考虑从几方面进行。
(1)完善与外包公司之间的网络安全制度。对于企业来说,数据是核心资产,数据泄漏则是重要的防御对象,而我国企业里很少有与外包公司签订网络安全协议的。由于服务提供商具有的权限比较高,他们往往可以对数据进行删除和操作,而企业的商业公告、发展报告、服务器IP、服务器操作系统、应用系统漏洞、用户的使用习惯等都很容易地被外包公司了解,所以制定外包公司的合作制度能起着防范作用。
(2)力求让每个人都清楚地理解到,将商业数据绑定在信息系统上的风险,并能按照制定的方针和方法来操作,以规避此风险。关键的控制目标应纳入员工的绩效考评里,对违规的行为进行调查和采取行动,仅仅靠口头说明,其约束力往往比较薄弱,而且容易给员工造成管理混乱,不知道哪些事可以做,哪些事不能做。
(3)经验告知,对一些重点领域的企业来说,政府的干预和调节是必然要发生的事情,尤其是对于那些重要的基础设施管理企业。制定制度和规范将会使得政府机构对这些比较放心,而且对于用户来说,也显得他们的数据得到了保障。
4 综合分析
在实际的网络安全建设中,以上几个因素如果没有做好,将会产生各种问题,从而增加系统风险,并且这些问题并不是孤立的,关系如图6所示。
通过图6不难看出,网络安全的各种因素相互制约,当某一方面出现问题时,会对另一方面产生联动的消极影响。因此,企业应该全面考虑这些问题对系统的影响,并将各种问题综合考虑进行处理,以降低信息系统的网络安全风险。企业如果想做好网络安全的防护工作,则应该抓住其中的关键因素,并着力于解决自身能解决的问题。
5 结束语
网络安全建设不仅仅只是技术问题,更多的是一个组织管理问题,对于企业来说,由于考虑到成本和效益的特殊性,根据自身实际选择适当的策略是必不可少的。本文从网络安全顶层设计角度出发,提出企业在网络安全建设中的几个关键因素,并且分析了它们的重要性及其互相之间的影响,最后给出相应的建议。实际工作表明,企业的网络安全建设并不能简单地照搬政府机构的网络安全做法,而是需要从投资、成本、收益等不同角度来考虑,充分分析哪一个因素是目前亟需解决并且是企业自身可以解决的,从而最终得到适合自身的策略计划。
参考文献
[1] 国务院关于大力推进信息化发展和切实保障网络安全的若干意见(国发〔2012〕23号).
[2] 张浩,詹辉红.基于ISO_IEC27001的网络安全体系与国家电网公司现有体系的比较研究[J].电力信息化,2009(5):43-46.
[3] Gary Loveland,Mark Lobel ,Joe Nocera. Key findings from The GlobalState of Information Security Survey 2013[EB/OL]. https://www.pwc.com/na/en/assets/pdf/global-state-of-information-security-survey-2014-key-findings-report.pdf,2013.
[4] 沈昌祥.關于加强网络安全保障体系的思考[J].计算机安全,2002(12):3-4.
[5] 兰红星,朱世清,等.西部地区网络安全保障工作体系建设研究[R].广西壮族自治区工信和信息化委员会,2013:35-38.
[6] Guide to Information Security[EB/OL]. https://www.oaic.gov.au/images/documents/privacy/privacy-guides/information-security-guide-2013_WEB.pdf,2013.
[7] James Crowther,Darek Dabbs,Shaun Dakin. 2013 Information Security Breaches Survey Technical Report [EB/OL]. https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/200455/bis-13-p184-2013-information-security-breaches-survey-technical-report.pdf,2013.
[8] 朱建明,Sr inivasan Raghunathan.基于博弈论的信息安全技术评价模型[J].计算机学报,2009(4):831-832.
[9] Lawrence A.Gordon, Martin P.Loeb. Budgeting Process for Information Security Expenditures[EB/OL]. https://www.researchgate.net/publication/220427223_Budgeting_process_for_information_security_expenditures,2006.
[10] Alexander Hutton.Information Security Standards and Regulations[EB/OL]. http://www.microsolved.com.2004.